Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede restringir el acceso al contenido de OneDrive de un usuario individual a los usuarios de un grupo de seguridad o un grupo de Microsoft 365 mediante una directiva de restricción de acceso al sitio. Los usuarios que no están en el grupo especificado no pueden acceder al contenido, incluso si tenían permisos anteriores o un vínculo compartido.
La directiva se aplica mediante Microsoft Entra grupos de seguridad o grupos de Microsoft 365 que contienen las personas que deben poder acceder a los archivos de ese OneDrive.
Cuando se aplica la directiva, a las personas de los grupos especificados no se les conceden permisos a ningún archivo directamente. El propietario de OneDrive debe compartir el contenido como lo haría normalmente. La directiva de restricción de acceso al sitio impide que cualquier persona que no esté en el grupo de seguridad o el grupo de Microsoft 365 acceda al contenido de OneDrive incluso si se comparte con ellos.
Las directivas de restricción de acceso se aplican cuando un usuario intenta acceder a un archivo. Los usuarios todavía pueden ver archivos en los resultados de búsqueda si tienen permisos directos para el archivo, pero no podrán acceder al archivo si no forman parte del grupo especificado.
También puede restringir el acceso al propio servicio OneDrive a los usuarios de un grupo de seguridad. Para obtener más información, vea Restringir el acceso de OneDrive por grupo de seguridad.
Antes de empezar
Asegúrese de que su organización cumple los requisitos previos para la administración avanzada de SharePoint, incluidos los requisitos para el módulo de PowerShell de SharePoint Online.
Habilitación de la restricción de acceso al sitio para su organización
Debe habilitar la restricción de acceso al sitio para su organización para poder configurarla para OneDrive de un usuario.
Para habilitar la restricción de acceso al sitio para su organización en el Centro de administración de SharePoint:
Expanda Directivas y seleccione Control de acceso.
Seleccione Restricción de acceso al sitio.
Seleccione Permitir restricción de acceso y, a continuación, seleccione Guardar.
Para habilitar la restricción de acceso al sitio para su organización mediante PowerShell, ejecute el siguiente comando:
Set-SPOTenant -EnableRestrictedAccessControl $true
El comando puede tardar hasta una hora en surtir efecto.
Nota:
Para los usuarios de Microsoft 365 Multi-Geo, ejecute este comando por separado para cada ubicación geográfica deseada.
Restricción del acceso al contenido de OneDrive de un usuario
Cada OneDrive se puede asignar hasta 10 Microsoft Entra de seguridad o grupos de Microsoft 365. Una vez que se agrega un grupo, solo los usuarios de los grupos tienen acceso al contenido de ese OneDrive que se ha compartido con ellos. Puede usar grupos de seguridad dinámicos si desea basar la pertenencia a grupos en las propiedades de usuario.
Importante
El propietario de OneDrive debe estar incluido en uno de los grupos de seguridad o Microsoft 365 que especifique o perderán el acceso a su OneDrive y su contenido.
Para administrar la restricción de acceso para OneDrive, use los siguientes comandos:
Para habilitar la restricción de acceso para una biblioteca de OneDrive determinada:
Ejecute el siguiente comando antes de agregar grupos de seguridad o microsoft 365.
Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Para agregar un grupo de seguridad o un grupo de Microsoft 365:
Ejecute el siguiente comando:
Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Para editar un grupo de seguridad o un grupo de Microsoft 365:
Ejecute el siguiente comando:
Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Para ver un grupo de seguridad o un grupo de Microsoft 365:
Ejecute el siguiente comando:
Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Para quitar un grupo de seguridad o un grupo de Microsoft 365:
Ejecute el siguiente comando:
Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Para restablecer la restricción de acceso al sitio:
Ejecute el siguiente comando:
Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl
Uso compartido de sitios y directivas de acceso restringido al sitio
El uso compartido de sitios de OneDrive se puede bloquear para usuarios y grupos que no están permitidos según la directiva de control de acceso restringido.
La funcionalidad de control de uso compartido está deshabilitada de forma predeterminada. Para habilitarlo, ejecute el siguiente comando:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Uso compartido con usuarios
El uso compartido solo se permite con los usuarios que forman parte de grupos de control de acceso restringido. El uso compartido se bloqueará con cualquier persona fuera de los grupos de control de acceso restringido, como se muestra a continuación:
Uso compartido con grupos
El uso compartido se permite con Microsoft Entra security o grupos de Microsoft 365 que forman parte de la lista de grupos de control de acceso restringido. Por lo tanto, no se permitirá el uso compartido con todos los demás grupos, incluidos Todos, excepto usuarios externos o grupos de SharePoint.
Nota:
Actualmente, el uso compartido de un sitio y su contenido no está permitido para los grupos de seguridad anidados que forman parte de los grupos de control de acceso restringido.
Configurar más vínculo para la página de error de denegación de acceso
Configure el vínculo "más información" para informar a los usuarios a los que se denegó el acceso a un sitio de OneDrive debido a una directiva de control de acceso a sitios restringidos. Con este vínculo de error personalizable, puede proporcionar más información e instrucciones a los usuarios.
Nota:
El vínculo "más información" es una configuración de nivel de inquilino que se aplica a todos los sitios de OneDrive que tienen habilitada la directiva de control de acceso restringido.
Para configurar el vínculo "más información":
Ejecute el siguiente comando:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
Para capturar el valor del vínculo:
Ejecute el siguiente comando:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
El vínculo más información configurado se inicia cuando el usuario selecciona el vínculo Más información sobre las directivas de su organización aquí .
Información de directivas de acceso a sitios restringidos
Como administrador de TI, puede ver los informes siguientes para obtener más información sobre los sitios de OneDrive protegidos con la directiva de acceso a sitios restringidos:
- Sitios protegidos por la directiva de acceso a sitios restringidos (RACProtectedSites)
- Detalles de denegaciones de acceso debido al acceso restringido al sitio (ActionsBlockedByPolicy)
Nota:
Cada informe puede tardar unas horas en generarse.
Sitios protegidos por un informe de directiva de acceso a sitios restringidos
Puede usar los siguientes comandos para generar, ver y descargar informes.
Para generar un informe:
Ejecute el siguiente comando:
Start-SPORestrictedAccessForSitesInsights -RACProtectedSites
Este comando genera una lista de sitios protegidos por la directiva de acceso a sitios restringidos.
Para ver un informe:
Ejecute el siguiente comando:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID>
Este comando crea un informe que muestra los 100 sitios principales con las vistas de página más altas protegidas por la directiva.
Para descargar un informe:
Ejecute el siguiente comando:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download
Este comando debe ejecutarse como administrador. El informe descargado se encuentra en la ruta de acceso donde se ejecutó el comando.
Para ver el porcentaje de sitios protegidos con acceso restringido al sitio:
Ejecute el siguiente comando:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary
Este informe muestra el porcentaje de sitios protegidos por la directiva del número total de sitios.
Denegaciones de acceso debido a la directiva de acceso restringido al sitio
Puede usar los comandos de esta sección para crear, capturar y ver informes de denegaciones de acceso debido a informes de acceso restringido al sitio.
Para crear un informe de denegaciones de acceso
Ejecute el siguiente comando:
Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy
Este comando crea un nuevo informe para capturar detalles de denegación de acceso.
Para obtener el estado de un informe de denegaciones de acceso
Ejecute el siguiente comando:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy
Este comando captura el estado del informe de denegaciones de acceso generado.
Para ver las últimas denegaciones de acceso en los últimos 28 días
Ejecute el siguiente comando:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials
Este comando crea una lista de las 100 denegaciones de acceso más recientes que se han producido en los últimos 28 días.
Para ver una lista de los principales usuarios a los que se denegó el acceso
Ejecute el siguiente comando:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers
Este comando crea una lista de los 100 usuarios principales que recibieron más denegaciones de acceso.
Para ver una lista de los principales sitios que recibieron la mayoría de las denegaciones de acceso
Ejecute el siguiente comando:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites
Este comando crea una lista de los 100 sitios principales que tenían más denegaciones de acceso.
Para ver la distribución de denegaciones de acceso entre diferentes tipos de sitios
Ejecute el siguiente comando:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution
Este comando muestra la distribución de denegaciones de acceso entre diferentes tipos de sitios.
Nota:
Para ver hasta 10 000 denegaciones, descargue los informes. Ejecute el comando download como administrador y los informes descargados se encuentran en la ruta de acceso desde la que se ejecutó el comando.
Auditoría
Los eventos de auditoría están disponibles en el portal de Microsoft Purview para ayudarle a supervisar las actividades de restricción de acceso al sitio. Los eventos de auditoría se registran para las actividades siguientes:
- Aplicación de la restricción de acceso al sitio para el sitio
- Eliminación de la restricción de acceso al sitio para el sitio
- Cambio de los grupos de restricción de acceso al sitio para el sitio